ru_vds 29 сен 2020 в 16:15

PiAlert V1 на страже безопасности серверов

10 мин

5.8K

Блог компании RUVDS.comИнформационная безопасность*Системное администрирование*Разработка на Raspberry Pi*DIY или Сделай сам

Перевод

+33

Комментарии 9

Revertis 29 сен 2020 в 21:44

Мне почему-то подумалось, что эту идею можно развить.
Взять старый андроид-смартфон, написать для него простенькое приложение, в котором разные атаки будут разными символами по экрану стекать в зависимости от разных вариантов атаки и разных айпишников как код из Матрицы.

Mem0 30 сен 2020 в 02:28

Мне казалось, что пытаться взломать будут любой общедоступный сервис, любую админку, любой ssh.
Если грамотно настроить какой-нибудь вменяемый аналог fail2ban, то и алертер не нужен. а вот алерт о том, что на сервер вошли-таки, было бы неплохо иметь, но с подробностями. например чтобы в телегу приходило уведомление о любом логине в систему, всегда можно точно знать, что происходит и отследить проблемы.
Но выглядит интересно, мне нравится.

unsignedchar 30 сен 2020 в 14:12

Как выглядят попытки взлома, когда на индикатор никто не смотрит? ;)

Заголовок спойлера

Точно так же. А поскольку на индикатор чаще не смотрят, чем смотрят — большинство попыток останутся какабы незамеченными.
Забавно, но бесполезно.

maledog 30 сен 2020 в 15:58

А если просто отправлять сообщение на почту/в телеграмм? Как верно здесь подметили эта цветомузыка будет гореть вечно. У меня в fail2ban только по ssh в среднем 15 адресов заблокированных висит.

unsignedchar 30 сен 2020 в 16:12

А если просто отправлять сообщение на почту/в телеграмм?

Зачем? Что нужно делать, увидев это сообщение? Срочно выключать сервер? Срочно менять все пароли? Переносить сервер на другой адрес/порт? Продолжать наблюдение? ;)

maledog 1 окт 2020 в 11:48

Можно будет составить некоторую картину развития атаки, если заранее продумать какие данные записывать в сообщении. Всяко информативнее моргания светодиодами. Плюс некое свидетельство канарейки — если перестали приходить сообщения, возможно что-то произошло с сервером:)

unsignedchar 1 окт 2020 в 17:27

Так можно случайно изобрести IDS, а если повезет, то и IPS. Хотя зачем ее изобретать, если готовых решений — вагон?

maledog 2 окт 2020 в 01:51

может и вагон. Но лично я против всяких IDS по причине, «им тоже нужен сервер и за ним нужно следить». Потому только затруднить подбор пароля при помощи fail2ban/iptables, ну и дублирование логов куда-нибудь.

unsignedchar 2 окт 2020 в 09:38

Fail2ban это уже по сути IPS, очень простая по сути.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий